CTI論壇(ctiforum.com) (編譯/老秦): 每天,聯(lián)絡中心都會生成、管理和存儲大量敏感的個人數(shù)據(jù),例如支付卡詳細信息、社會保險號碼、聯(lián)系方式等等。然而,這些數(shù)據(jù)具有巨大的財務價值,因為它可以被網(wǎng)絡犯罪分子買賣,使聯(lián)絡中心成為內(nèi)部和外部數(shù)據(jù)安全威脅的持續(xù)目標。
根據(jù) IBM 最近的一份報告,在所研究的 550 個組織中,有 83% 的組織在其一生中發(fā)生了不止一次違規(guī)行為。毫不奇怪,全球數(shù)據(jù)泄露造成的平均成本在 2022 年攀升至 435 萬美元的歷史新高,而 2021 年為 424 萬美元。
在極端情況下,通話錄音可能會被竊取然后被員工出售,或者黑客可能會監(jiān)聽實時對話并等待客戶提供他們的信用卡信息。這并不像你想象的那么不可能。根據(jù) TRUSTID 的一項調查,在金融服務行業(yè)工作的受訪者中有 51% 表示呼叫中心是賬戶接管攻擊的主要渠道。
不幸的是,隨著威脅形勢的不斷發(fā)展,可能很難保持領先地位并在潛在風險出現(xiàn)之前識別它們。這就是為什么我們將您的聯(lián)絡中心可能面臨安全漏洞風險的 10 個跡象匯總在一起的原因。讓我們仔細看看。
1、您沒有對登錄憑據(jù)使用 雙重/多重身份驗證
在當今世界,為所有在線帳戶使用一個用戶名和密碼已不足以保護您的數(shù)據(jù)。黑客變得越來越老練,如果他們掌握了您的登錄憑據(jù),他們就可以訪問敏感的客戶信息。
保護您的聯(lián)絡中心免受黑客攻擊的最佳方法之一是使用雙重身份驗證,因為它為您的聯(lián)絡中心增加了一層額外的安全性,并且可以在很大程度上保護您的系統(tǒng)免受攻擊。
有了雙因素身份驗證,黑客將需要的不僅僅是用戶名和密碼來訪問您的系統(tǒng)。它需要兩種形式的身份驗證才能訪問您的聯(lián)絡中心應用程序:登錄憑據(jù)和通過短信 (SMS) 發(fā)送到已注冊電話號碼、電子郵件或身份驗證應用程序(例如Authy)的一次性密碼。
2、您沒有加密通話錄音文件
不幸的是,許多聯(lián)絡中心仍然使用過時的方法,例如將錄音存儲在未加密的硬盤驅動器或未加密的云中。雖然企業(yè)表示加密客戶數(shù)據(jù)是首要任務,但在 Entrust 的全球加密趨勢報告中,只有 42% 的受訪者在 2021 年這樣做了!
考慮到每天有 700 萬條未加密的數(shù)據(jù)記錄被泄露,這令人難以置信。根據(jù)Ponemon Institute 的說法,如果您仍然不相信加密至關重要,那么了解您的組織可以通過使用強大的加密和執(zhí)行網(wǎng)絡安全策略為每次攻擊節(jié)省 140 萬美元會有所幫助。
有許多不同類型的加密算法可用,因此必須選擇一種適合您存儲的數(shù)據(jù)類型的算法。您還應該考慮實施靜態(tài)和傳輸中的加密,以及用于客戶通信的端到端加密。
保護客戶數(shù)據(jù)的最佳方式是使用 256 位高級加密標準 (AES) 或更高版本加密記錄。這將使黑客更難訪問錄音,即使他們掌握了文件。
3、您的座席在便利貼或類似物品上寫下信用卡號
任何處理支付卡信息(例如信用卡號)的聯(lián)絡中心都必須符合 PCI DSS。支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS) 是主要信用卡公司為幫助保護客戶數(shù)據(jù)而制定的一套安全標準。聯(lián)絡中心必須滿足 12 項要求才能符合 PCI DSS。其中包括加密所有敏感數(shù)據(jù)、確保所有系統(tǒng)安全以及維護安全網(wǎng)絡。
不合規(guī)可以有多種形式。一個例子是在便利貼上寫下信用卡號碼(很常見!)。與其依賴手動流程(例如信任座席在客戶提供支付卡詳細信息時暫停記錄),不如依賴基于規(guī)則或人工智能驅動的自動編輯。
您的聯(lián)絡中心必須符合 PCI DSS 的原因是它有助于保護您的客戶數(shù)據(jù)。如果您的聯(lián)絡中心發(fā)生數(shù)據(jù)泄露并且客戶數(shù)據(jù)受到損害,則可能會對您的業(yè)務造成破壞性影響。您不僅要對任何損害負責,而且還可能會失去客戶的信任。
4、您沒有監(jiān)控(遠程)聯(lián)絡中心員工活動
為了防止數(shù)據(jù)泄露,監(jiān)控員工活動非常重要,因為大部分數(shù)據(jù)泄露都有內(nèi)部來源。不幸的是,許多聯(lián)絡中心沒有適當?shù)谋O(jiān)控,使他們?nèi)菀资艿綈阂饣蚴韬鰡T工的攻擊。
有許多不同的方法來監(jiān)控員工的活動。過去,最有效的方法之一是視頻監(jiān)控,但隨著虛擬或混合聯(lián)絡中心的興起,這是不可行的--誰喜歡在工作中被視頻監(jiān)控?
一種不那么侵入性且高效的方法是結合實時監(jiān)控(主管強插正在進行的呼叫)、屏幕捕獲(允許您以高質量記錄多個屏幕)和 AI 驅動的座席評估。
5、您的通話錄音文件沒有加“水印”
為您的通話錄音文件加水印是確保它們不會被篡改的最佳方法之一,并且在發(fā)生爭議時將被接受為證據(jù)。水印是嵌入在文件中的小而透明的圖像。水印看不到也聽不到,但可以用來識別文件的來源。
例如,MiaRec提供了一個強大的工具,用于對音頻文件進行防篡改水印,以確保數(shù)據(jù)完整性。這可以通過在許多數(shù)字數(shù)據(jù)傳輸中使用"校驗和"方法來保證。"校驗和"是一種數(shù)學函數(shù),可為每個文件生成唯一值。即使文件中的一個字節(jié)被更改,校驗和也會不同,這可用于檢測對文件所做的任何更改。
6、您沒有監(jiān)控活動日志
監(jiān)控活動日志是識別潛在安全風險的關鍵步驟。日志文件可以幫助您查看員工在他們的計算機上正在做什么以及他們何時執(zhí)行這些操作。此信息可用于識別任何潛在的安全問題。
通過跟蹤誰在訪問什么數(shù)據(jù)以及何時訪問,您可以快速識別可能表明企圖破壞的異;蚩梢苫顒印;顒尤罩緫恳豁椈顒樱ü芾砘顒。
您應該監(jiān)控許多不同的日志類型,包括應用程序日志、系統(tǒng)日志和數(shù)據(jù)庫日志。根據(jù)您的聯(lián)絡中心基礎設施,您可能還需要監(jiān)控 Web 服務器日志和防火墻日志。請務必注意,活動記錄與通話記錄不同。通話錄音會捕獲通話的音頻,而活動記錄會跟蹤系統(tǒng)上發(fā)生的事情。
7、你沒有進行定期的安全審計
定期安全審計對于識別潛在的安全風險和確保您的聯(lián)絡中心符合行業(yè)法規(guī)至關重要。在安全審計期間,外部方將檢查您的聯(lián)絡中心基礎設施和程序,以確定任何弱點。他們還將評估您對行業(yè)法規(guī)的遵守情況。
安全審計應定期進行--至少每年一次。如果您經(jīng)歷過數(shù)據(jù)泄露或正在引入新技術,您可能需要更頻繁地進行審計。安全審核完成后,您將獲得一份報告,其中詳細說明了已識別的任何風險以及需要采取哪些措施來減輕這些風險。
8、您不限制員工訪問敏感數(shù)據(jù)
基于角色的訪問權限是任何安全策略的重要組成部分。它們確保只有授權用戶才能訪問敏感數(shù)據(jù)和系統(tǒng)。使用基于角色的訪問權限,您可以控制用戶在您的聯(lián)絡中心內(nèi)可以查看和執(zhí)行的操作。這可以防止對敏感數(shù)據(jù)的未經(jīng)授權的訪問,并有助于確保符合行業(yè)法規(guī)。
基于角色的訪問權限還可以更輕松地管理用戶權限。無需為每個單獨的用戶分配權限,您只需將角色分配給一組用戶即可。這可以節(jié)省時間并更容易跟蹤誰可以訪問什么。
最后,基于角色的訪問權限通過使黑客更難訪問您的系統(tǒng)來幫助提高安全性。通過使用基于角色的訪問權限,您可以使黑客更難猜測密碼和訪問敏感數(shù)據(jù)。這是因為每個用戶只能訪問其工作所需的數(shù)據(jù)和系統(tǒng)。
9、您沒有書面的安全和監(jiān)管合規(guī)政策
有據(jù)可查的安全性和法規(guī)遵從性政策對于任何組織來說都是必不可少的,無論其規(guī)模大小。它應概述為確保數(shù)據(jù)(尤其是敏感的客戶數(shù)據(jù))安全而必須遵循的程序,并詳細說明不遵守該政策的后果。
所有員工都應了解安全政策并被要求簽署。書面政策應定期審查并在必要時更新。保持最新的安全策略以反映最新的風險和威脅至關重要。
專業(yè)提示:您可以使用 AI 驅動的關鍵字提取,通過查找政策文檔中概述的特定觸發(fā)詞來確保您的座席遵守您的政策。
10、您的員工沒有接受網(wǎng)絡安全培訓
黑客訪問聯(lián)絡中心系統(tǒng)的最常見方式之一是通過員工錯誤。例如,員工可能會不小心點擊網(wǎng)絡釣魚電子郵件或下載惡意附件。
這就是為什么對您的聯(lián)絡中心座席進行安全風險培訓以及如何避免這些風險至關重要的原因。除了一般的安全意識培訓外,您還應該提供有關員工使用的系統(tǒng)和應用程序的特定培訓。
網(wǎng)絡安全培訓應涵蓋各種主題,包括社會工程、網(wǎng)絡釣魚、密碼管理和數(shù)據(jù)保護。對員工進行與聯(lián)絡中心相關的特定風險的教育也很重要。例如,座席可能成為攻擊者的目標,這些攻擊者試圖通過借口或其他社會工程技術獲取敏感的客戶數(shù)據(jù)。
專業(yè)提示:應定期進行培訓,至少每年一次。還應讓員工了解不遵守前面提到的安全政策的后果。有關如何使用語音分析更好、更有效地培訓員工的具體提示,請查看本文。
結論
聯(lián)絡中心是任何業(yè)務的關鍵部分,負責處理客戶交互和敏感數(shù)據(jù)。但是,由于他們的工作,他們也面臨著安全漏洞和數(shù)據(jù)泄露的高風險。了解您的聯(lián)絡中心可能存在風險的跡象非常重要,這樣您就可以采取措施避免安全漏洞。
您的聯(lián)絡中心面臨風險的一些跡象包括缺乏安全協(xié)議、密碼管理不善、身份驗證方法薄弱、缺乏基于角色的訪問權限以及缺乏員工網(wǎng)絡安全培訓。通過采取措施解決這些風險,您可以幫助保護您的聯(lián)絡中心免受安全漏洞的影響。
聲明:版權所有 非合作媒體謝絕轉載
作者;Anthony Perez
原文網(wǎng)址:https://blog.miarec.com/10-signs-that-your-contact-center-is-at-risk-for-a-security-breach
